7545 sayılı Siber Güvenlik Kanunu (“Kanun”), Türkiye’nin siber uzaydaki milli güvenliğini güçlendirmek ve siber tehditlere karşı bütüncül bir yapı oluşturmak amacıyla kabul edilmiştir. Kanun, bilişim sistemleri üzerinden hizmet sunan veya veri işleyen i) kamu kurum ve kuruluşlarını, (ii) kamu kurumu niteliğinde meslek kuruluşlarını, (iii) gerçek ve tüzel kişileri ve (iv) tüzel kişiliği bulunmayan kuruluşları kapsamaktadır. Dolayısıyla, yalnızca kamu kurumları değil; dijital ortamda faaliyet gösteren çok sayıda özel sektör şirketi de Kanun kapsamındadır.
Kanun ile kurulan Siber Güvenlik Başkanlığı (“Başkanlık”), ülke genelinde siber güvenlik politikalarını oluşturma, siber tehditleri tespit etme, Siber Olaylara Müdahale Ekibi (“SOME”) yapılanmasını geliştirme, kritik altyapılara yönelik güvenlik seviyesini artırma ve gerekli durumlarda siber olaylara müdahale edilmesini sağlama görevlerine sahiptir. Öte yandan Başkanlık; Kanun kapsamındaki tüm aktörlerin faaliyetlerini denetleme yetkisine sahiptir. Denetim sırasında elektronik sistemlerin incelenmesi, kopyaların alınması ve açıklama istenmesi mümkündür.
Kanun kapsamındaki kurum ve şirketler, Başkanlığın taleplerine uygun hareket etmekle yükümlüdür. Bu yükümlülüklerin başında; Başkanlık tarafından yayımlanacak politika, strateji, eylem planı, tavsiye ve rehberlerde belirtilen güvenlik tedbirlerini alınması, talep edilen bilgi, belge ve teknik verilere zamanında cevap verilmesi, tespit edilen siber saldırı veya zafiyetlerin gecikmeksizin Başkanlığa bildirilmesi gelmektedir.
Ek olarak, kritik altyapı kapsamındaki kurum ve şirketler, siber güvenlik ürün ve hizmetlerini yalnızca Başkanlık tarafından yetkilendirilmiş sağlayıcılardan temin etmek zorundadır.
Kanun, hem idari para cezaları hem de hapis cezaları öngörmektedir: İdari para cezaları 1 milyon TL ile 100 milyon TL arasında değişmekte olup; özellikle bildirim yükümlülüğüne, tedbir alma yükümlülüğüne, denetimde işbirliği sağlama yükümlülüğüne veya yetkilendirilmiş tedarikçi kullanma yükümlülüğüne aykırılıklar para cezası yaptırımına tabidir. Denetimde işbirliği sağlanmaması hâlinde, bağımsız denetimden geçmiş yıllık brüt satış hasılatının yüzde beşine kadar idari para cezası uygulanabilecektir.
Ayrıca, bilgi veya belge vermeme, gerekli onay ve yetkileri almadan siber güvenlik faaliyetinde bulunma, veri ihlaline sebebiyet verme, hukuka aykırı veri paylaşımı veya satışa çıkarma, gerçeğe aykırı siber sızıntı içeriği yayma ve kritik altyapılara yönelik siber saldırı fiilleri için bir yıldan onbeş yıla kadar değişen hapis cezaları öngörülmüştür.
Kanunun uygulanmasına ilişkin ayrıntıların, yürürlüğe konulacak ikincil düzenlemeler ile netleşmesi beklenmektedir. Geçici Madde 1 uyarınca bu düzenlemelerin bir yıl içerisinde çıkarılması gerekmektedir. Bu kapsamda; SOME yapılanmasına, denetim süreçlerine, belgelendirme ve bildirim usullerine ilişkin teknik ayrıntıların yönetmelik ve tebliğlerle açıklığa kavuşacağı öngörülmektedir.
Sonuç olarak, Kanun; siber güvenliğin sağlanması adına merkezi koordinasyonu güçlendiren, denetim ve bildirim süreçlerini zorunlu hale getiren ve sorumlulukları açık şekilde tanımlayan hükümler barındırmaktadır. Bu bakımdan Kanun kapsamındaki kurum ve şirketlerin, oluşturacakları uyum programları ile mevcut siber güvenlik sistem ve süreçlerini uçtan uca gözden geçirmesi, iç sorumluluk mekanizmalarını belirlemesi ve ileride yayımlanacak ikincil düzenlemeleri yakından takip etmesi önem taşımaktadır.
24.10.2025
